Novo ataque Man-in-the-Disk deixa milhões de telefones Android vulneráveis
Pesquisadores de segurança da Check Point Software Technologies descobriram um novo vetor de ataque contra o sistema operacional Android que poderia permitir que invasores infectem silenciosamente seus smartphones com aplicativos maliciosos ou iniciem ataques de negação de serviço.
Apelidado de Man-in-the-Disk , o ataque aproveita a maneira como os aplicativos Android utilizam o sistema "Armazenamento Externo" para armazenar dados relacionados a aplicativos, que, se adulterados, podem resultar em injeção de código no contexto privilegiado do aplicativo de destino.
Deve-se notar que os aplicativos no sistema operacional Android podem armazenar seus recursos no dispositivo em dois locais - armazenamento interno e armazenamento externo.
O próprio Google oferece diretrizes para os desenvolvedores de aplicativos Android pedindo que usem armazenamento interno, que é um espaço isolado alocado para cada aplicativo protegido usando a caixa de proteção interna do Android, para armazenar seus arquivos ou dados confidenciais.
No entanto, os pesquisadores descobriram que muitos aplicativos populares - incluindo o próprio Google Translate, junto com o Yandex Translate, o Google Voice Typing, o Google Text-to-Speech e o Xiaomi Browser - usavam armazenamento externo desprotegido que pode ser acessado por qualquer aplicativo instalado no mesmo dispositivo .
Semelhante ao ataque "man-in-the-middle", o conceito de ataque "man-in-the-disk" (MitD) envolve a interceptação e manipulação de dados trocados entre o armazenamento externo e um aplicativo, que, se substituído por um derivado cuidadosamente elaborado "levaria a resultados prejudiciais".
Por exemplo, os pesquisadores descobriram que o navegador Xiaomi baixa sua última versão no armazenamento externo do dispositivo antes de instalar a atualização. Como o aplicativo não valida a integridade dos dados, o código de atualização legítimo do aplicativo pode ser substituído por um código malicioso.
Dessa forma, os invasores podem obter uma posição de homem no disco, de onde podem monitorar dados transferidos entre qualquer outro aplicativo no smartphone do usuário e o armazenamento externo e sobrescrevê-lo com sua própria versão maliciosa para manipular ou travar eles. O ataque também pode ser abusado para instalar outro aplicativo mal-intencionado em segundo plano sem o conhecimento do usuário, que pode ser usado para escalar privilégios e obter acesso a outras partes do dispositivo Android, como câmera, microfone, lista de contatos e muito mais.
Entre os aplicativos que os pesquisadores da Check Point testaram para esse novo ataque MitD estavam o Google Translate, o Yandex Translate, o Google Voice Typing, o LG Application Manager, o LG World, o Google Text-to-Speech e o Xiaomi Browser.
O Google, que por sua vez não segue suas diretrizes de segurança, reconheceu e corrigiu alguns aplicativos afetados e está no processo de consertar outros aplicativos vulneráveis também, disse a Check Point.
Além do Google, os pesquisadores também abordaram os desenvolvedores de outros aplicativos vulneráveis, mas alguns, inclusive, a Xiaomi se recusaram a corrigir o problema, de acordo com os pesquisadores.
Apelidado de Man-in-the-Disk , o ataque aproveita a maneira como os aplicativos Android utilizam o sistema "Armazenamento Externo" para armazenar dados relacionados a aplicativos, que, se adulterados, podem resultar em injeção de código no contexto privilegiado do aplicativo de destino.
Deve-se notar que os aplicativos no sistema operacional Android podem armazenar seus recursos no dispositivo em dois locais - armazenamento interno e armazenamento externo.
O próprio Google oferece diretrizes para os desenvolvedores de aplicativos Android pedindo que usem armazenamento interno, que é um espaço isolado alocado para cada aplicativo protegido usando a caixa de proteção interna do Android, para armazenar seus arquivos ou dados confidenciais.
No entanto, os pesquisadores descobriram que muitos aplicativos populares - incluindo o próprio Google Translate, junto com o Yandex Translate, o Google Voice Typing, o Google Text-to-Speech e o Xiaomi Browser - usavam armazenamento externo desprotegido que pode ser acessado por qualquer aplicativo instalado no mesmo dispositivo .
Como funciona o ataque do homem no disco do Android?
Semelhante ao ataque "man-in-the-middle", o conceito de ataque "man-in-the-disk" (MitD) envolve a interceptação e manipulação de dados trocados entre o armazenamento externo e um aplicativo, que, se substituído por um derivado cuidadosamente elaborado "levaria a resultados prejudiciais".
"Foi descoberto que o Xiaomi Browser estava usando o armazenamento externo como um recurso de teste para atualizações de aplicativos", disseram os pesquisadores em um post no blog .
"Como resultado, nossa equipe conseguiu realizar um ataque pelo qual o código de atualização do aplicativo foi substituído, resultando na instalação de um aplicativo alternativo indesejado, em vez da atualização legítima."
Dessa forma, os invasores podem obter uma posição de homem no disco, de onde podem monitorar dados transferidos entre qualquer outro aplicativo no smartphone do usuário e o armazenamento externo e sobrescrevê-lo com sua própria versão maliciosa para manipular ou travar eles. O ataque também pode ser abusado para instalar outro aplicativo mal-intencionado em segundo plano sem o conhecimento do usuário, que pode ser usado para escalar privilégios e obter acesso a outras partes do dispositivo Android, como câmera, microfone, lista de contatos e muito mais.
Manifestações de vídeo de ataque homem-no-disco
Os pesquisadores da Check Point também conseguiram comprometer arquivos e travar o Google Translate, o Google Voice-to-Text e o Yandex Translate, porque esses aplicativos também não validaram a integridade dos dados usados no armazenamento externo do Android.Entre os aplicativos que os pesquisadores da Check Point testaram para esse novo ataque MitD estavam o Google Translate, o Yandex Translate, o Google Voice Typing, o LG Application Manager, o LG World, o Google Text-to-Speech e o Xiaomi Browser.
O Google, que por sua vez não segue suas diretrizes de segurança, reconheceu e corrigiu alguns aplicativos afetados e está no processo de consertar outros aplicativos vulneráveis também, disse a Check Point.
Além do Google, os pesquisadores também abordaram os desenvolvedores de outros aplicativos vulneráveis, mas alguns, inclusive, a Xiaomi se recusaram a corrigir o problema, de acordo com os pesquisadores.
"Após a descoberta dessas vulnerabilidades de aplicativos, entramos em contato com o Google, Xiaomi e fornecedores de outros aplicativos vulneráveis para atualizá-los e solicitar sua resposta", disseram os pesquisadores da Check Point.Os pesquisadores destacaram que só testaram um pequeno número de aplicativos importantes e, portanto, esperam que o problema afete um número mais significativo de aplicativos Android do que o que eles explicitamente observaram, deixando milhões de usuários do Android potencialmente vulneráveis a ameaças cibernéticas.
"Uma correção para os aplicativos do Google foi lançada pouco tempo depois, aplicativos vulneráveis adicionais estão sendo atualizados e serão divulgados assim que o patch for disponibilizado para seus usuários, enquanto a Xiaomi escolheu não abordá-lo neste momento".
Tem algo a dizer sobre este artigo? Comente abaixo ou compartilhe conosco no Facebook , Twitter ou no nosso Grupo LinkedIn .
Comentários
Postar um comentário